Salapärane ja kummituslik rootkit

Viimati toimetatud 13.august 2009.a.

Mida aeg edasi, seda enam ohustavad arvuteid uue põlvkonna pahavarad, mis võrreldes tavaliste viiruste, troojalaste ja nuhkvaraga on võimelised end süsteemi ära peitma ning vältima avastamist traditsiooniliste tõrjeprogrammide poolt.Sellist kurivara on tavavahenditega väga raske eemaldada, kuna nad teisendavad end arvuti tööks eluliselt vajalikeks süsteemifunktsioonideks või -protsessideks. Neid salajasi ja varjatud pahalasi kutsutakse rootkit’ideks.

ukryte_furtki_rys41043333064108.jpg

Olemus

Rootkit on peidetud pahavara, ehk siis nähtamatu protsess või koodijupp (viirus, trooja, klahvivajutuste salvestaja, nuhkvara), mis suudab mööda hiilida viirus- ja nuhkvaratõrjeprogrammidest, salvestub kettale ja hakkab õelvara loojale edastama arvutis leiduvat tundlikku informatsiooni – salasõnadest kuni pangakoodideni välja.

Tavaliselt kasutataksegi rootkit-pahavara just klahvinuhkide peitmiseks. Esmalt muudetakse vastavalt rootkiti olemusele ja ülesannetele arvutis olevad teatud protsessid, programmid või süsteemiutiliidid töövõimetuks (modifitseeritakse algtähenduselt teiseks), mis võimaldab sissemurdjal saavutada kontroll kogu arvuti üle. Kontrollitavat arvutit saab kasutada näiteks isikliku andmelaona, kus kurjam hoiab oma kahtlast kraami, kas siis levitamiseks mõeldud spämmi, varastatud faile jne. Samuti võidakse nakatunud arvutit kasutada pahavarakeskusena teiste arvutite nakatamiseks üle interneti.

Lisainfo siit

Tüübid

Rootkite liigitatakse põhiliselt nelja alaliiki: mälupõhised, kasutajapõhised, püsivad (Persistent) ja kernel-tasandi rootkitid. Raskemini avastatavad ja ohtlikeimad on just kaks viimast, kuna aktiveeruvad juba arvuti alglaadimisel, enne veel, kui operatsioonisüsteem ise jõuab täielikult käivituda ja mingitki kaitset pakkuda. Kasutajapõhiseid ja mälupõhiseid rootkite saab aga kergemini avastada ja eriutiliitide abil eemaldada. Mälupõhine rootkit ei suuda püsivat pahatahtlikku koodi kõvakettale salvestada ja arvuti taaskäivitamisel see tavaliselt hävineb. Ent kunagi ei või kindel olla, et see end uuesti automaatselt käima ei lülitada, kasutades selleks näiteks süsteemitaastepunkte.
Lisainfot siit ja siit

Ennetus ja tõrje

Kuna pahatahtlikud “kummitused” installeeruvad kergemini administraatori õigustega sisseloginud kasutajate süsteemi, siis alati on turvalisem toimetada arvutis tavakasutaja õigustes. Ja loomulikult olgu administraatori konto ikka alati salasõnaga kaitstud. Kuidas valida turvalisi salasõnu, sellest loe siit ja siit

Kuigi rootkitid võivad olla leidnud takistusteta tee arvutisse, ei tähenda see, et sama tõrjeprogramm, millest see läbi lipsas, ei suudaks seda hiljem avastada. Pahalasi otsitakse nii signatuuride põhjal kui pahavara käitumiskombeid analüüsides, seega ikka ja alati olgu viiruse-ja nuhkvaratõrjed värskelt uuendatud. Samuti tuleb Microsofti koduleheküljelt (Windows Update) kõik turvaaukude lappimiseks mõeldud parandused arvutisse tõmmata. Ja mis peamine – kunagi ei tasu arvutisse installeerida tundmatut programmi, mille päritolus ja turvalisuses kindel pole, kuna sageli sokutatakse just nendega salaja rootkit kaasa. Enne tasuks vastava programmi kohta internetist infot otsida ja alles seejärel otsustada.

Kindlasti soovitan paigaldada arvutisse mõni rootkitide tõkestusprogramm. Parimaks neist peetakse DiamondCS ProcessGuard´i ja InfoProcess AntiHook´i , millest eelmine versioon 2.6 on vabavara kodukasutajatele. Ise kasutan Processguard kaitset, millest küll vabavaraline versioon paraku otseselt ei paku rootkit-vastast blokeeringut, ent arvestades nende aastatepikkust kogemust ja programmi kvaliteeti, ei hakka nad oma mainet rikkuma ohtliku pahavara arvutisse lubamisel.

14153-diamondcs-processguard.jpg

Kui veel aasta tagasi pakuti rootkit’ide avastamiseks ja eemaldamiseks vaid kolme-nelja programmi, siis nüüd võib neid internetist leida palju, enamus vabavaralised. Kindlalt on esirinnas vanematest tegijatest Sysinternals RootkitRevaler ja F-Secure BlackLight.

blacklight_rootkit.jpg

Uutest tõrjevahenditest peetakse paremateks Gmeri, Ice Swordi, Rootkit Unhookerit, Hidden Finderit ja Rootkit Hook Analyzerit. Olen neid kõiki katsetanud ja rahule jäänud, ent algajad peaksid arvestama, et mõned on neist üsna keerulised, mitmete lisadega, ja kui pole väga kursis süsteemiprotsessidega, siis tuleks pigem kasutada mõnd lihtsamat, näiteks viirusetõrjujate poolt väljatöötatud beeta-versioone, mille leiab nende kodulehtedelt. Need eriutiliidid on väga kasutajasõbralikud, rootkiti leides tavaliselt nimetatakse see ümber (rename) ja taaskäivitusega (restart) eemaldatakse.
Kõigi eelnimetatud tõkestus- ja tõrjeprogrammide kohta ja paljude teiste analoogsete programmide kohta saab infot siit:
http://antirootkit.com/software/index.htm
Täiendavat lugemist siit

Kindlalt teada nuhkvaratõrjujad, mis samuti suudavad kummitus-kurivara avastada, on vabavaraline A-squared Free ja tasuline Ashampoo AntiSpyware.

Ajaloost

Termin “rootkit” (root – unix keskonnas adiministraator; kit – tööriistakomplekt) on kasutusel juba 10-15 aastat. Algselt ei olnud rootkit loodud sugugi pahatahtlikuna, vaid oli mõeldud administraatorite töö kergendamiseks Unix/Linuxi keskkonnas. Paraku on see ka parim tee võõra arvuti kaaperdamiseks…

rootkit.jpgEsimene Windowsi rootkit avalikustati juba aastal 1999 Greg Hoglund`i poolt. Laiemalt hakati rootkit’ide olemasolu teadvustama 2005. aasta oktoobris, kui Microsoft ja Sysinternals.com turvaekspert Mark Russinovich avastas juhuslikult oma isiklikust arvutist meediakonserni Sony poolt oma toodetega kaasa pandud nn Sony Rootkit’i, mis pidi kindlustama muusikaplaatide kopeerimiskaitse, ent samal ajal võttis see kontrolli arvuti üle ning selle eemaldamise järel lakkas Windows töötamast.

Sony Skandaalist saab lähemalt lugeda siit .  Ja lõpplahendusest on ka Arvutikaitses juttu.

6 thoughts on “Salapärane ja kummituslik rootkit”

  1. Et siis AK soovitus on KÕIKIDESSE arvutitesse rootkittide tõrjuja panna?

    Olge normaalsed, see ei ole töötav lahendus. Seda viitsib (ja sellega sellega saab hakkama) see 1% kasutajatest, kellega niikuinii probleemi ei ole. Sisuline sihtgrupp ei saa sellest soovitusest aru, ei viitsi, ei saa hakkama – ja ei peagi. Midagi muud, paluks!

  2. Arvutikaitse soovitab kõigest kasutajate teadlikkust tõsta. Tean inimesi, kel pole arvutit kaitsmas isegi anti-viirusetõrjet, rääkimata tulemüürist, nuhkvaraeemaldajatest jne. Valik on kasutaja enda teha – kui tahab töötada uimase ja aeglase, kokkujooksva arvutiga ning soovib, et kõik ta privaatne info oleks kolmandatele isikutele kättesaadav, ja et tema arvutit võidakse kasutada häkkeri poolt kui häkkeri enda isiklikku arvutit, siis on see kasutaja otsus.
    ‘Süsteemiprotsesside tundmisega saab võibolla tõesti vaid 1% hakkama, ent selleks ongi eraldi väljatoodud lõik artiklis: “…siis tuleks pigem kasutada mõnd lihtsamat, näiteks viirusetõrjujate poolt väljatöötatud beeta-versioone, mille leiab nende kodulehtedelt. Need eriutiliidid on väga kasutajasõbralikud…” Need utiliidid teevad kasutaja eest kogu töö ise ära, vajuta vaid Scan, hiljem Remove või veel parem Rename ja siis taaskäivitusele. Tavaliselt antakse väga arusaadavat infot leitud rootkiti kohta, seega enne kindlasti kontrolli netist üle, mida nimelt hävitama hakkad, et juhusliku programmi vea korral ei kustutaks vajalikku faili ära.
    Proovi näiteks AVG Anti-Rootkit Beta (http://www.grisoft.com/doc/products-avg-anti-rootkit/lng/us/tpl/tpl01),
    Panda Rootkit Cleaner (http://research.pandasoftware.com/blogs/research/archive/2006/12/14/Rootkit-cleaner.aspx),
    McAfee Rootkit Detective Beta (http://vil.nai.com/vil/stinger/rkstinger.aspx) või artiklis nimetatud F-Secure BlackLight Beta teenuseid. Ei usu, et midagi keerulist oleks.
    Tõsi muidugi on see, et rootkit avastamine on üsna keeruline protsess ja KÕIKI rootkite ei suuda ka need utiliidid avastada, ent programmide täiustamine on momendil väga aktuaalne teema seoses rootkitide kiire levikuga, seega kindluse mõttes võiks need programmid arvutis olla, et vähemalt juba tuntuid pahalasi avastataks. Sellist programmi paraku praegu veel ei ole olemas, mis suudaks dubleerida suure osa operatsioonisüsteemist, mis annab kõige parema tulemuse rootkitide leidmisel.

  3. misiganes “installi endale tükk mittefunktsionaalset softi” sorti soovitus ei ole soovitus, vaid kasutaja narrimine. kui midagi üldse öelda, siis “osta arvuti poest, kus töötav turvasoft arvutiga kaasa pannakse”. ainus liigutus, mida kasutaja ise on nõus antiviirusega tegema, on “disable” või “ignore this red flashing banner” vajutamine.

    mul ei ole muide ka kodus viirusetõrjet, tulemüüri ega nuhkvaraeemaldajat, pole kunagi olnudki. saan hakkama kuidagi 🙂 opsysteemid microsofti win98 ja xp.

  4. Sinu taoliste mega kasutajate pärast tekibki krt. aina rohkem zombiarvuteid!

  5. to kaur: aga oled sa ka kindel, et sinu arvutis nuhkvara ega viiruseid pole?

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga